MikroTik: настройка роутера для доступа в интернет

В этой статье мы постараемся рассказать, как выполняется на MikroTik настройка базовой конфигурации для доступа в интернет «с нуля» на примере роутера MikroTik hAP ac2, для пользователей, которые только начинают свое знакомство с оборудованием одноименного производителя.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Базовая настройка MikroTik будет производиться на «чистой конфигурации» системы RouterOS.

Роутеры компании Микротик пользуются популярностью среди системных администраторов. Они надежны в работе, функциональны и доступны по цене. Практика показывает, что данный вид оборудования отличается высокой стабильностью работы. После грамотной настройки не требует дополнительных вмешательств администратора.

Конечно, для пользователей знакомых только с бытовым оборудованием (TP-Link, D-Link, Zyxel, Asus), настройка Микротик может показаться непривычной и усложненной. Она, конечно, предполагает наличие более глубоких знаний сетевых протоколов, понимания функционирования стека TCP/IP, строение модели OSI и т.п. Но это обратная сторона широких возможностей и гибкости настройки роутера под себя.

Следует отметить, что устройства линейки маршрутизаторов RouterBoard MikroTik очень схожи в настройке, так как идут с единой “фирменной” системой RouterOS, далее ROS. Аппаратная основа RouterBoard, далее RB, в различных моделях оборудования может отличаться (количество портов, наличие и разновидность модулей wi-fi, объем оперативной и постоянной памяти, архитектура процессора и их кол-во и т.п.).

По ходу процесса развития операционной системы ROS появляются новые команды, убираться или изменятся логика работы старых, что необходимо учитывать, используя примеры настройки, найденные в Интернет.

RouterOS: общая информация

ROS представляет собой специализированную и унифицированную операционную систему. Она существует в форме:

  • Предустановленной на заводе, при изготовлении устройств RB;
  • Установочного образа для x86 совместимых систем;
  • Образа виртуальной машины;
  • Виртуальной машины VDS/VPS на облачном хостинге.

Способы подключения к устройству с RouterOS:

Чтобы настроить роутер MikroTik, имеется несколько способов подключения:

  • из любого актуального WEB-браузера посредством интерфейса Webfig;
  • используя утилиту Winbox (для Windows) имеющую графический интерфейс;
  • средствами командной строки (CLI) используя защищенный протокол SSH.

В большинстве случаев настройка Микротик выполняется при помощи фирменной утилиты Winbox, которую можно скачать с официального сайта.

Она сочетает в себе удобство, наглядность и возможность одновременного использования командного интерфейса. Ее мы и рекомендуем, а также будем использовать в рамках данной статьи.

MikroTik настройка подключения

Первое подключение

В примерах мы предполагаем, что у нас имеется:

  • Роутер Mikrotik hAP ac 2;
  • Компьютер с ОС Windows, на который загружена актуальная версия Winbox с сайта производителя, на момент написания это 3.31, более ранние версии могут не подключаться к роутерам с версией ROS старше 6.43.
  • Провайдер услуг по доступу к Интернет. Далее мы рассмотрим разные типы подключения к сети поставщика интернет-услуг.

Порядок действий:

Mikrotik подключение
Подключение MikroTik
  1. Кабель от поставщика услуг(интернет), вставляем в первый порт роутера;
  2. ПК или ноутбук соединяем с отличным от первого портом Ethernet-кабелем (или подключаемся через Wi-fi соединение), предполагается, что на компьютере выставлен режим автоматического получения сетевых настроек (DHCP);
  3. Запитываем устройство от блока питания входящего в комплект поставки.

Конфигурация по умолчанию

При первом включении маршрутизатор загружает заводскую конфигурацию, называемую еще конфигурация “по умолчанию”, далее “КПУ”.

  • Первый порт настроен в режим автоматического получения сетевых настроек (dhcp клиент);
  • Оставшиеся порты ethernet, сконфигурированы в свитч. Создается локальная подсеть (LAN) с адресным пространством 192.168.88.0/24 (192.168.88.1-192.168.88.254);
  • В этой конфигурации создается DHCP сервер, который автоматически сообщает настройки подключаемым к маршрутизатору устройствам в диапазоне адресов IP 192.168.88.2-192.168.88.254;
  • Для возможности первоначального подключения к маршрутизатору без использования кабеля создается открытая wi-fi сеть с названием Mikrotik-XXXXXX , где XXXXXX это три последних шестнадцатеричных числа (октета) из MAC адреса wi-fi интерфейса, они указаны на стикере, приклеенном на устройство.

Если роутер имеет два диапазона wi-fi, то появятся две открытых wi-fi сети.

После осуществления подключения к маршрутизатору одним из способов выше, запустим утилиту Winbox. Выберем вкладку Neighbors и после нажатия кнопки Refresh (либо сразу), должно появиться наше оборудование в списке:

В настройках конфигурации по умолчанию запущена служба для информирования о работающих устройствах на ROS, в этом заключается удобство обнаружения оборудования с RouterOS, даже если неизвестны параметры IP-адреса ранее сконфигурированного устройства, и подсеть компьютера отличается от настроек роутера.  

Если установить крыжик в поле “Keep Password”, то Winbox “запомнит” последний использованный пароль для подключения.

Отметка в поле “Open In New Window” при нажатии “Connect” открывает подключение на новом экземпляре Winbox и не закрывает предыдущего.

Если версия заводской прошивки младше 6.43, то для подключения необходимо выставить режим совместимости до момента обновления версии на актуальную:

Найдем наш маршрутизатор в списке обнаруженных устройств и осуществим подключение для управления им, для этого есть два способа, по IP адресу либо по MAC. Подключение по MAC адресу может быть удобно, если роутер был уже сконфигурирован на IP адрес не из подсети, в которой находится компьютер. При щелчке в поле IP (или MAC) адреса он копируется в “Connect To” и можно осуществить подключение “Connect”.

На MikroTik пароль по умолчанию отсутствует. Логин по умолчанию — admin.

Сброс «конфигурации по умолчанию»

Так как мы будем настраивать роутер Микротик с нуля, то сперва нам необходимо сбросить заводскую конфигурацию «по умолчанию». Для этого:

При первом подключении появляется окно с кратким описанием предлагаемых настроек КПУ, нажмем кнопку «Remove Configuration».

После перезагрузки маршрутизатора мы получим «чистую» конфигурацию системы. Теперь можем приступать к базовой настройке роутера.

Базовая настройка MikroTik с нуля при помощи Winbox

Как говорилось ранее, базовая настройка MikroTik с нуля будет выполняться с помощью фирменной утилиты Winbox. Запустим Winbox и подключимся к маршрутизатору по MAC адресу:

Настройка Mikrotik с нуля

Установка пароля

Так как на MikroTik пароль по умолчанию отсутствует, то его следует обязательно назначить сразу же после подключения.

  • System => Password.

MikroTik настройка WAN

Если объяснять своими словами, WAN — это интернет. Если говорим о роутере, то подразумевается разъем, куда подключается кабель интернет-провайдера. В Mikrotik для WAN может быть назначен любой порт, но мы настроим соединение с провайдером на первом порту(Ether1).

В MikroTik настройка интернета начинается с того, что нам нужно определить тип соединения, предоставляемый провайдером. Такая информация прописывается в договоре.

Есть 3 основных типа подключения:

  • PPPoE;
  • Динамический IP (Automatic);
  • Статический IP (Static);

Рассмотрим настройку каждого из них.

PPPoE

Это протокол для передачи данных. Сегодня редко используется провайдерами для предоставления своих услуг, уступая место более надежным и современным видам подключений.

Чтобы создать подключение:

  • PPP;
  • Добавим новый интерфейс:
    • Interface => «+» ;
    • PPPoE Client.
Mikrotik настройка WAN: PPPoE

Выполним настройку PPPoE-клиента для подключения к провайдеру:

На вкладке Dial Out сконфигурируем подключение, указав свои данные:

  • Логин и пароль подключения (эти данные можно взять из договора с интернет-провайдером).
  • Use Peer DNS – если мы хотим указать свои DNS сервера, то нужно снять галочку с этого пункта. В нашем примере мы будем использовать DNS провайдера, поэтому оставим это поле без изменений;
  • Add Default Route – маршрут по умолчанию будет прописываться автоматически;
  • OK.

Настройка WAN: Динамический IP

Данный вид настройки подключения MikroTik для доступа в интернет считается самым простым, так как все нужные сетевые значения, присваиваются автоматически. Нам только нужно создать DHCP-клиент и указать ему интерфейс. Делается это следующим образом:

В данной настройке WAN подключения интерфейс Ether1 получит сетевые настройки автоматически от провайдера. Если мы хотим указать свои DNS сервера, то необходимо снять галочку с пункта «Use Peer DNS».

Если мы все сделали правильно, то в поле IP Address отобразится наш IP и статус подключения (Status) изменится на значение bound (связанный). Соединение с интернетом установлено.

Не забывайте, что если у провайдера есть привязка к MAC-адресу оборудования, то даже правильное выполнение всех перечисленных действий не даст результата. После окончания настройки необходимо позвонить провайдеру и “привязать” маршрутизатор.

Настройка WAN: статический IP

MikroTik настройка интернета со статическим адресом. При таком типе подключения мы получаем основные сетевые настройки от провайдера и настраиваем WAN подключение вручную. Для наглядности представим, что получили от интернет-провайдера следующие параметры подключения:

  • IP: 172.16.13.25;
  • Subnet Mask: 255.255.255.0;
  • Gateway: 172.16.13.254;
  • DNS: 172.16.13.254.

Откроем:

  • IP => Addresses => «+»;
Настройка статического ip Mikrotik

Обратите внимание, что маску подсети можно указать полным форматом, как показано на рисунке выше. Так и сокращенным: 172.16.13.25/24.

Следующим этапом настройки добавим шлюз (Gateway), еще его называют «маршрут по умолчанию». Для этого откроем:

  • IP => Routes => «+».

Укажем ДНС сервера провайдера или известные публичные ДНС (например, Google: 8.8.8.8, 8.8.4.4), с помощью которых будет выполняться преобразование IP-адресов в доменные имена. Откроем:

Добавим WAN в Interface List

Чтобы дальнейшая настройка Микротик была универсальна независимо от того, какой тип WAN подключения вы используете, добавим WAN-интерфейс в новый Interface List.

Создадим новый интерфейс лист с именем «ISP»:

Interface list mikrotik настройка

Добавляем WAN-интерфейс:

Если тип подключение PPPoE, то добавлять надо именно это соединение (pppoe-out1).

На данном этапе настройки роутера MikroTik должен появиться доступ в интернет на самом устройстве. Проверить это можно, запустив терминал (New Terminal), и опросить какой-нибудь узел глобальной сети, например ya.ru:

mikrotik настройка интернета

Мы видим время ответа узла, значит, настройка WAN выполнена правильно и MikroTik выходит в глобальную сеть.

MikroTik настройки LAN

В следующем шаге базовой настройки MikroTik мы объединим порты и беспроводные адаптеры в одну локальную сеть, настроим автоматическое получение основных сетевых настроек и разрешим хостам этой сети доступ в интернет.

Интерфейс Bridge

Чтобы объединить порты и wi-fi адаптеры в локальную сеть, необходимо создать интерфейс Bridge. Давайте посмотрим, как это сделать:

 На вкладке «Ports»:

Добавим все порты (кроме WAN) и беспроводные адаптеры в интерфейс Bridge1, как показано на рисунке выше. По окончании настройки у нас должно получиться следующее:

Настройка IP внутренней сети (LAN):

Назначим для внутренней подсети 12 сегмент и внутренний адрес маршрутизатора Mikrotik 192.168.12.254:

Создание и настройка DHCP-сервера

DHCP Server (Dynamic Host Configuration Protocol) – это сетевой протокол, который динамически назначает необходимые для работы в сети значения: IP адрес, маску подсети, шлюз и др.

На MikroTik настройка DHCP Server выполняется следующим образом:

  • IP => DHCP Server => DHCP => DHCP Setup.

Укажем интерфейс, на котором будет работать DHCP-сервер (Bridge1). Назначим адресное пространство локальной сети.

Установим шлюз:

Диапазон IP-адресов:

DNS-сервер:

Время на которое выдавать сетевые настройки хостам локальной сети:

Настройка DHCP сервера закончена.

MikroTik настройка DNS

Разрешим MikroTik обрабатывать запросы и выступать в роли DNS-сервера.

Для более глубокого понимания настроек ДНС изучите статью Настройка DNS сервера на MikroTik.

Базовая настройка MikroTik: Firewall и NAT

NAT

NAT -это механизм позволяющий изменять IP-адрес в заголовке пакета, проходящий через роутер Mikrotik. Это делается для того, чтобы пользователи локальной сети могли отправлять запросы в интернет.

Создадим универсальное правило:

  • IP => Firewall => NAT => «+».

На этом этапе должен появиться доступ в интернет на хостах локальной сети.

Если вы хотите более детально изучить тему NAT, то ознакомьтесь со статьей: MikroTik проброс портов и настройка NAT для доступа в интернет.

Firewall

Основная задача брандмауэра, на основании правил разрешает или запрещает передачу данных из одной сети в другую. Бывает два типа настроек межсетевых экранов.

  • Нормально открытый (все разрешено, что не запрещено);
  • Нормально закрытый (все запрещено, что не разрешено).

В этом примере мы покажем настройку конфигурации нормально закрытого брандмауэра без детального пояснения. Если вы хотите получить более полное понимание данной темы, то прочитайте MikroTik настройка Firewall: Правильная настройка безопасности роутера. Откроем:

  • IP => Firewall => Filter Rules => «+».
Цепочка input

Разрешим все установленные и связанные соединения:

Запретить недействительные соединения:

Разрешить DNS запросы всем, кроме WAN-интерфейсов:

Обязательно поставьте «!» на In. Interface List, иначе Микротик будет принимать и обрабатывать запросы не только из локальной сети, но и глобальной.

Разрешим ping-запросы:

Разрешить доступ Winbox:

Запрещаем остальные соединения:

Цепочка forward

Разрешаем все установленные и связанные соединения.

Запрещаем «invalid connection».

Запретить все, кроме NAT в WAN.

Итоговая конфигурация firewall:

MikroTik настройка беспроводной точки доступа

Для настройки сети Wi-Fi необходимо создать профиль безопасности и выполнить конфигурирование модулей 2.4Ghz (wlan1) и 5Ghz (wlan2), в случае его наличия.

Security Profiles

Сперва создадим профиль безопасности, где укажем его имя, тип шифрования и пароль для нашей сети Wi-Fi.

  • Wireless => Security Profiles => «+».

MikroTik настройка wlan1

Перейдем к конфигурированию wlan1 (беспроводной модуль 2.4Ghz). На вкладке «WiFi Interfaces» двойным нажатием откроем его свойства, перейдя на пункт меню «Wireless», нажмем кнопку «Advanced Mode», чтобы отобразить расширенные свойства:

Сконфигурируем интерфейс wlan1 следующим образом:

Пункт меню «Advanced»:

Пункт меню «HT», проверяем, активны ли обе внутренние антенны:

На вкладке «Tx Power» устанавливаем мощность приемника сигнала:

MikroTik настройка wlan2

Настройка интерфейса wlan2 (беспроводной модуль 5Ghz) проходит аналогичным образом:

Подробное описание и значение параметров беспроводной сети вы можете изучить в статье: MikroTik настройка Wi-Fi.

Что нужно сделать после настройки MikroTik

Базовая настройка MikroTik для подступа в интернет закончена. Мы настроили WAN подключение до провайдера, сконфигурировали локальную и беспроводную сеть, выполнили настройку firewall и NAT.

Хочется дать несколько рекомендаций, которые повысят безопасность и надежность работы маршрутизатора MikroTik.

Создать нового пользователя

Создание нового пользователя с уникальным именем и сложным паролем будет дополнительной защитой от брутфорс атак.

  • System => Users => «+».

После чего отключим системную учетную запись.

Отключить неиспользуемые сервисы

Если вы не собираетесь настраивать MikroTik через веб-интерфейс, telnet и тому подобное, то есть смысл отключить данные сервисы, так как они могут нести потенциальную опасность.

  • IP => Service.

Таким образом, мы оставили возможность подключения по ssh и Winbox.

Настроить правильное время

Настроить правильное время важно по нескольким причинам:

  • Неудобно анализировать лог-файлы;
  • Может не работать IPSEC;
  • Могут не работать сертификаты.

Для синхронизации времени на MikroTik есть встроенный SNTP-клиент.

Отключить службу MAC-Telnet и протокол MNDP

MNDP – это служба обнаружения маршрутизаторов в сети. С ее помощью MikroTik получают информацию друг о друге. Протокол передает данные о версии ОП и некоторых функциях, которые включены в роутере.

Однако если в сети несколько роутеров Микротик или Cisco, то эта функция будет полезна. Настроим ее следующим образом:

  • Добавим новый Interface List.

Назначим ему интерфейс локальной сети(LAN).

  • IP => Neighbors.

Аналогичным образом сконфигурируем MAC-Telnet.

  • Tools => MAC Server.

Экспорт конфигурации

MikroTik сконфигурирован и готов к работе. На этом этапе необходимо сделать полную резервную копию системы в *.rsc формате.

RSC файл содержит настройки системы записанную командами, его можно открыть в текстовом редакторе, развернуть на другом оборудовании и многое другое.

Экспорт делается командой: export file=fullsystem

Где full-system – это произвольное имя файла.

Сохраним созданный бэкап:

Нажимаем на файл левой кнопкой мыши, перетаскиваем его в любое место рабочего стола.

Заключение

Мы изучили, как выполняется на MikroTik настройка интернета для модели hAP ac2 с нуля, т.е. на чистой конфигурации. Поделились рекомендациями, которые повысят безопасность и надежность маршрутизатора.

Надеюсь, данная статья была вам полезна.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Оцените статью
Smartadm.ru
Добавить комментарий